Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso, come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo.
Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale.
Necurs distribuisce Quant Loader via file .URL
In questa particolare ondata di email di spam Necurs sta distribuendo con una massiccia campagna di spam Quant Loader, un trojan che fondamentalmente si limita a assicurarsi la persistenza sull'hoste e a scaricare altri malware.
Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate.
Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate.